REPUBLIQUE 



FRANQAISE 




INSTITUT 
NATIONAL DE 
LA PROPRIETE 
INDUSTRIE LLE 



10 lb 06 5 3JB 
03/00721 



w • • fJL 0 1 MR. 2003 

^tfEWKPEBL O S SEP 1604 



BREVET D 1 INVENTION 



CERTIFICAT D'UTILITE - CERTIFICAT D'ADDITION 



COPIE OFFICIELLE 




Le Directeur general de I'lnstitut national de la propriete 
indu^trielle certifie que le document ci-annexe est la copie 
certifiee conforme d'une derriande de litre de propriete 
industrielle deposee a I'lnstitut. 

Fait a Paris, le 0 5 MARS 2003 



Pour le Directeur general de I'lnstitut 
national de la propriete industrielle 
Le Chef du Departement des brevets 




Martine PLANCHE 



INSTITUT 
NATIONAL DE 
LA PROPRIETE 
INDUSTRIELLE 



SIEGE 

26 bis, rue da Saint Petersbourg 
75800 PARIS cedex 08 
Tifcphone : 33 (0)1 53 04 53 04 
T&ecopte : 33 (0)1 53 04 45 23 
www.tnpLfr 



AVAILABLE COPY 



ETA BLISS EM E NT PUBLIC NATIONAL CREE f 



NATtOttAL O* 

la pcormrrt 

26 bis, rue de Saint Petersbourg 
75800 Paris Cedex 08 

T^hone : 33 (1) 53 04 53 04 T616copie : 33 (!) 42 94 86 54 



REMISE DES PitCES 
DATE 

LIEU 



8 MARS 2002 
n'^^I PARIS 

NATIONAL ATTTUBUE PAR Q^QQQ 

- 8 MARS 2002 



par lwi 



j Reserve a HNPl[ 



CEHTiF§CAT D'UTSLITE 

Code de la propriete intellectiielle -M^fl 

page 1/2 

Cet imprime est a remplir lisibtement a I'encre noire 



N° 11354*01 



Vos references. pour ce dossier 

(facuUatiJ) 



BFF 01/0497 



DB 540 W /3003m 

NOW) ET ADRESSE DU DEMANDEUR OU DU MANDAT7URE 
A QUI LA CORRESPONDANCE DOIT ETRE ADRESSEE 



CABINET IAVOIX 

2, Place d'Estienne d'Orves 

75441 PARIS CEDEX 09 



Confirmati on d'un ctepfit par tStecopie 

Demande de brevet 



Demande de certificat d'utilite 
Demande dtvisionnaire 

Demande de brevet initiate 

ou demande de certificat d'utilitS initiate 



□ 
N° 



Date 111' 1111 * 
Date I I 1 1 1 1 1 < 1 



TITRE DE L r INVENTION (200 caracteres ou espaces maximum) 



DECLARATION DE PRIORITY 
OU REQUETE DU BENEFICE DE 
LA DATE DE DEPOT D'UNE 
DEMANDE ANTERIEURE FRANCAISE 



Pays ou organisation 

natej | | 1 1 1 1 I J 




N° 


Pays ou organisation 

i | i 1 i 4 1 1 


N° 


Pays ou organisation 

n*te | | | i 1 i i J _ J 


N° 



Norn ou denomination sociale 



Prenoms 



Forme juridique 
' N* SIREN 
Code APE-NAF " 



VIACCESS 



- S oc i-efe£- -Axionyme 

J . 1 .LJu»AuJ,..J 

I I I I 1 



24, rue des JeOneurs 




Remplir imperativement la 2** page 




UISTtltfT 
RATIOUALOt 

la pocpnicrt 



CEBSTilFBCAT S3WBILBTE 

KEQUiTE ESS ©EO¥^BgE 

page 2/2 





REMISE OES PlfeCES 
DATE 

UEU 



S MARS 2002 

NOOENREG^f^^pi PARIS 
NATIONAL ATTRIBUE PAR L'tNPl 



DB540W/300301 



Vos references pour ce dossier : 

(factdtatif) 




Rue 

Adresse 

Code postal et viile 
' *N° de telephone (facultalif) 
I tefecopie (facuhatiQ 
Ise electronique < 



BFF 01/0497 



2 Place d'Estienne d'Orves 




Etablissement immediat 
ou etablissement differe 



Paiement echelonne de la redevance 



H REDUCTION DU TAU2C 
DES &EDEVAMCES 



Paiement en deux i/ersernents, uniquement pour les persons physiques 

□ OU! 

□ Won 



Uniquement pour lespersonnes physiques 

□ Requise pour la premiere fois pour cette invention QoindreunavisdenommposMton) 

□ Requise anterieurement a ce depot (joindre une copie de la dicision d'adtnisston 
pour cette invention ou indiqtiersa reference) : 



SI uous avez utilis§ rimprimS «Suite», 
indiquez le nombre de pages jofrrtes 



^ SIGMATURE DU DECiflAWDEUR 
OU DU RflAMDATAIRE 
(Worn ei qualfte du signature) 



C. JACOB SON^ 
n° 92.113 



VISA DE LA PREFECTURE 
PJ DE UIWPI 




Les protocoles d'inscription, d'invalidation et/ou d'effacement de droits 
d'acces a des informations embrouillees sont, a I'heure actuelle, d'une 
importance primordiale pour assurer une gestion des prestations de service la 
plus fluide et la plus souple possible dans le domaine du controle d'acces a des 

5 informations embrouillees. 

C'est en particulier le cas dans le domaine de la television a peage, 
domaine dans lequel les services ou prestations de sen/ices proposes tendent 
a recouvrir les services et prestations les plus divers. 

En particulier, dans le domaine precite, le renouvellement p6riodique 

10 des abonnements d'un abonne est effectue par I'ajout, inscription, d'une 
nouvelle information caracteristique de la prolongation ou du nouvel 
abonnement souscrit par I'abonne. 

En raison du fait de I'independance de la gestion des droits d'acces 
souscrits et alloues a chaque abonne et du controle d'acces proprement dit, la 

15 gestion des droits d'acces etant effectuee par I'intermediaire de messages de 
gestion, dits messages EMM, pouvant vehiculer les droits d'acces et le contrOle 
d'acces etant effectue par la diffusion de messages de controle d'acces, dits 
messages ECM, comprenant un mot de controle d'acces chiffre, jouant le role 
d'une cle de service et des criteres d'acces, un tel renouvellement se traduit par 

20 Inscription, dans la mernoire du processeur de securite associe au decodeur 
ou au module de contrdle d'acces, d'une nouvelle information. 

Le module de controle d'acces etant, de maniere habituelle, constitue 
par une carte a microprocesseur, du type carte bancaire, les ressources en 
mernoire de ce dernier sont n6cessairement limitees. 

25 Pour cette raison, le processus pr6cite d'inscription de droits est 

assorti d'une fonction d'effacement des droits perimes. Cette derniere a 
toutefois pour seul but de liberer de I'espace mernoire dans 1e module de 
controle d'acces ou la carte, afin d'Sviter, a terme, sa saturation. 

Un tel processus d'inscription/effacement ne permet pas d'assurer, 

30 avec toute la souplesse et la securite n§cessaires, une gestion fluide des droits 
d'acces inscrits dans le module de controle d'acces ou la carte alloue & chaque 
abonne. 



C'est, par exemple, suite a un defaut de paiement de I'abonne, ou 
encore dans le cadre des offres modulables lors du changement, par I'abonne, 
de I'offre a laquelle ce dernier a souscrit. 

Eu egard au critere de securite, en raison du caractere un peu fruste 
5 du processus actuel d'effacement, tout abonne indelicat apparaTt en mesure de 
filtrer et intercepter les messages d'effacement qui auraient pour objet de 
reduire ou contrdler les droits d'acces de ce dernier. 

En outre, un processus d'enregistrement des messages EMM 
description de droits en vue de soumettre ces derniers de maniere illicite a un 
10 processus de re-jeu ne peut etre exclu. 

Enfin, les processus actuels description et/ou d'effacement de droits 
par messages EMM peuvent provoquer un dysfonctionnement de ces 
operations, lie au non respect d'un sequencement adapte. 

La presente invention a pour objet la mise en oeuvre d'un protocole 
15 description, d'invalidation et/ou d'effacement de droits d'acces a des 
informations embrouillees permettant, d'une part, d'assurer un controle et une 
gestion des droits d'acces inscrits d'une tres grande souplesse et d'une tres 
grande fluidite, et, d'autre part, d'ameliorer sensiblement le niveau de securite 
offert. 

20 En particulier, un objet de la pr6sente invention est la mise en ceuvre 

d'un protocole description, d'invalidation et/ou d'effacement de droits d'acces a 
des informations embrouillees, dans lequel chaque operation description 
d'invalidation et/ou d'effacement est rendue conditionnelle a une reference 
anterieure, telle qu'une date d'action. 

25 Un autre objet de la presente invention est egalement la mise en 

oeuvre d'un protocole d'inscription, d'invalidation et/ou d'effacement de droits 
d'acces a des informations embrouillees dans lequel les operations 
description, d'invalidation et/ou d'effacement de droit d'acces peuvent etre 
codees, afin d'ameliorer la securite et empecher tout re-jeu des messages 

30 d'ordre interceptes correspondants. 

Un autre objel de la presente invention est, enfin, la mise en couvre 



programmable de ce dernier, de droits d'acces et de porte-jetons electroniques 
permettant la mise en oeuvre du protocole objet de la presente invention. 

Le protocole description, d'invalidation et/ou d'effacement de droits 
d'acces a des informations embrouillees, objet de I'invention, est mis en ceuvre 
5 pour des informations embrouillees transmises d'un centre d'emission vers au 
moins un terminal de desembrouillage, auquel est associe un module de 
controle d'acces muni d'un processeur de securite. Les droits d'acces sont 
inscrits dans le module de controle d'acces et les informations embrouillees 
sont soumises a un controle d'acces par Emission periodique de messages de 

10 controle d'acces, porteurs de criteres d'acces et d'un cryptogramme d'un mot de 
controle change periodiquement et chiffrd au moyen d'une cle d'exploitation, 
puis, au niveau de chaque processeur de securite, conditionnellement a la 
verification a la valeur vraie d'au moins un droit d'acces inscrit vis-a-vis des 
criteres d'acces, par dechiffrement du cryptogramme du mot de controle a partir 

15 de la cle d'exploitation, puis transmission au terminal de desembrouillage dii 
mot de controle restitue et desembrouillage des informations embrouillees a 
partir de ce dernier. 

II est remarquable en ce qu'il consiste au moins a constituer tout droit 
d'acces inscrit dans le module de controle d'acces comme un ensemble de 

20 variables independantes et de variables liees comportant au moins, outre une 
variable d'identification du droit d'acces, une variable de date d'action sur le 
droit d'acces inscrit et une variable d'etat pouvant prendre I'une de trois valeurs 
codees droit d'acces valide, droit d'acces invalide, droit d'acces efface, a 
transmettre du centre d'emission vers chaque terminal de desembrouillage et 

25 vers le module de controle d'acces associe a ce dernier au moins un message 
de gestion de droit d'acces, ce message comportant au moins, outre une 
variable d'identification de droit d'acces inscrit, une variable de date d'action et 
une variable d'affectation d'etat, valeur codee correspondant a un droit d'acces 
valide, un droit d'acces invalide ou un droit d'acces efface. 

30 Sur reception du message de gestion de droit d'acces, il consiste 

enfin, au niveau du module de controle d'acces, a affecter au droit d'acces 
inscrit correspondant a la variable d'identification de droit d'acces du message 
de gestion de droit d'acces, la date d'action et a allouer, a la variable d'etat du 



droit d'acces inscrit correspondent, la variable d'affectation d'etat correspondant 
a un droit d'acces valide a un droit d'acces invalide ou a un droit d'acces efface. 

Le module de controle d'acces a des informations embrouillees 
transmises d'un centre d'emission vers au moins un terminal de 
5 desembrouillage auquel est associe ce module de controle d'acces, objet de la 
presente invention, est remarquable en ce qu'il comprend, inscrit en memoire 
de ce module de contrdle d'acces, au moins un droit d'acces constituS par un 
ensemble de variables independantes et de variables iiees, cet ensemble de 
variables comportant au moins, outre une variable d'identification du droit 
10 d'acces inscrit et une variable de dates de validite, une variable de date d'action 
sur le droit d'acces inscrit et une variable d'etat pouvant prendre Tune de trois 
valeurs codees, droit d'acces valide, droit d'acces invalide, droit d'acces efface. 

Le protocole et le module de controle d'acces, objets de la presente 
invention, trouvent application, non seulement a la transmission point-multipoint 
1 5 de donnees embrouillees, notamment a la television § peage, mais egalement a 
la transmission point a point de donnees d'images vid6o ou d'execution de 
services, en reseau, selon le protocole IP par exemple. 

lis seront mieux compris a la lecture de La description et a 
('observation des dessins ci-apres, dans lesquels : 
20 - la figure 1 represents, a titre illustratif, un organigramme general 

des etapes permettant la mise en oeuvre du protocole objet de la presente 
invention ; 

- la figure 2a represente, a titre illustratif, un organigramme specifique 
des etapes permettant la mise en oeuvre du protocole objet de la presente 

25 invention, lors d'une operation d'inscription d'un droit valide, dans le module de 
contr6le d'acces alloue a un abonne ; 

- la figure 2b represente, a titre indicatif, un organigramme specifique 
des etapes permettant la mise en ceuvre du protocole objet de la presente 
invention, lors d'une operation d'invalidation d'un droit inscrit dans le module de 

30 controle d'acces alloue a un abonne ; 

- la floure *c. rspnisenle, a litre illustratif, un orflanigramrne specifique 



d'effacement correspondant a un effacement virtuel, en raison du caractere 
momentanement differe de I'effacement physique de ce droit ; 

- la figure 2d represente, a titre illustratrf, un organigramme specifique 
de introduction d'un effacement physique d'un droit d'acces inscrit, 

5 conditionnellement a un critere specifique, tel qu'un critere temporel par 
exemple ; 

- les figures 3a et 3b represented un module de controle d'acces 
selon Pinvention. 

Une description plus detaillee du protocole description, d'invalidation 

10 et/ou d'effacement de droits d'acces a des informations embrouillees, conforme 
a I'objet de la presente invention, sera maintenant donnee en liaison avec la 
figure 1 et les figures suivantes. 

D'une maniere generate, on rappelle que le protocole, objet'de la 
presente invention, permef de gerer les droits d'acces a des informations 

15 embrouillees transmises d f un centre d'emission vers une pluralite de terminaux 
de desembrouillage- A chaque terminal est associe un module de controle 
d'acces muni d f un processeur de securite. 

De maniere classique, chaque module de controle d'acces peut etre 
constitue par une carte & microprocesseur contenant le processeur de securite 

20 precite, ainsi que des m§moires securisees permettant la memorisation de cles 
de dechiffrement et, finalement, toute operation de verification d'authenticite par 
exemple. Chaque module de controle d'acces est muni d'une memoire non 
volatile programmable et des droits d'acces aux informations embrouillees sont 
inscrits dans le module de controle d'acces, au niveau de la m§moire non 

25 volatile programmable precitee. 

Les informations embrouillees sont soumises a un controle d'acces 
par emission periodique de messages de controle d'acces, messages designes 
messages ECM. Ces messages de controle d'acces sont porteurs de criteres 
d'acces et d'un cryptogramme d'un mot de controle change periodiquement et 

30 chiffre au moyen d'une cle d'exploitation. 

Au niveau de chaque processeur de securite, conditionnellement a la 
verification 3 la valeur vraie d'au moins un droit d'acces inscrit vis-a-vis des 
criteres d'acces vehicules par les messages de controle d'acces, le controle 
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d'acces est effectue par dechiffrement du cryptogramme du mot de controle a 
partir de la cle d'exploitation, memorisee dans la memoire non volatile 
securisee du processes de securite, par transmission au terminal de 
desembrouillage du mot de controle restitue par le module de controle d'acces, 
puis desembrouillage des informations embrouillees a partir du mot de controle 
restitue au niveau du terminal de desembrouillage precite. 

Dans le cadre d'un processus de controle d'acces aux informations 
embrouillees precite, le protocole, objet de la presente invention, est 
remarquable en ce qu'il consiste au moins a constituer et definir tout droit 
d'acces inscrit dans le module de controle d'acces comme un ensemble de 
variables independantes et de variables liees. Ces variables component au 
moins, outre une variable d'identification du droit d'acces et une variable de 
dates de validite, une variable de date d'action sur le droit d'acces inscrit dans 
le module de controle d'acces et une variable d'etat pouvant prendre I'une de 
15 trois valeurs codees, c'est-a-dire sort droit d'acces valide, sort droit d'acces 
invalide ou encore droit d'acces efface. 

En reference a la figure 1 precrtee, on designe par : 

- RJD : variable d'identification de droit d'acces ; 

- V_D : variable de dates de validite ; 

2Q - AD_V : variable de date d'action sur le droit d'acces inscrit ; 

- S_V : variable d'etat pouvant prendre I'une des trois valeurs codees, 
droit d'acces valide, droit d'acces invalide ou droit d'acces efface. 

A titre d'exemple non limitatif, on indique que les trois valeurs codees 
peuvent correspondre a : 
25 - S_V = 0 pour un droit invalide ; 

- S_V = 1 pour un droit valide ; 

- S_V = 2 pour un droit efface. 

Compte tenu des considerations precedentes, on comprend, bien 
entendu, que la definition et la constitution des droits d'acces, ainsi que 
30 mentionne precedemrnent dans la description, sont essentielles pour la mise en 
u-uvi * du protocol- objoL de la presente invention. Cette etape est representee 



AR = [VJD] RJD [R_SID] AD_V S_V (1 ) 

En reference a la relation precitee, on indique que, conformement au 
codage specifique des droits d'acces precites, toute variable entre crochets est 
consideree comme optionnelie. 
5 Alors que la variable de dates de validite V_D est une variable 

independante, celle-ci peut etre rendue optionnelie pour des raisons de codage 
specifique, I'absence de variable de dates de validity, pour un droit d'acces 
inscrit, pouvant correspondre a une valeur particuliere de ce droit par exemple. 

Au contraire, la variable R__SID, variable de sous-identification de 
10 droit, est une variable liee a la variable d'identification de droit d'acces RJD. 

Dans ces conditions, on considere la presence des variables 
independantes d'identification de droit d'acces RJD, de date d'action AD_V et 
de variable d'etat S_V comme n6cessaire pour la mise en oeuvre du protocole 
objet de la pr6sente invention, ce dernier etant essentiellement mis en oeuvre 
15 pour des droits d'acces inscrits et comportant, bien que de maniere optionnelie, 
une variable de date de validite. 

Ainsi, en reference a la relation (1) precedente, on indique que pour 
ces variables : 

- V_D : indique un intervalle de date de validite, lequel peut etre fixe 
20 et represents par une date de debut et une date de fin de droit d'acc&s ou 

glissant et defini alors en nombre de jours, le cas 6cheant par une date de 
peremption. L'intervalle de validite peut alors §tre transforms en valeur fixe a la 
premiere utilisation par exemple. 

- RJD et R_SID : les variables precitees correspondent a des 
25 identifiants et sous identifiants du droit inscrit et permettent, bien entendu, de 

referencer ce droit dans les criteres d'acces vehicules par les messages de 
controle d'acces ECM. 

- AD_V : indique la date a laquelle une operation a ete effectuee sur 
le droit inscrit. D'une maniere plus specifique, on indique que la variable 

30 precitee indique soit la date description du droit inscrit dans la carte lorsque 
aucune operation n'a ete effectuee sur ce dernier, sort au contraire, la date 
d'execution, date d'action, de la derniere operation ulterieure et, en particulier, 
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la date de reactualisation, la date d'invalidation ou encore la date d'effacement, 
ainsi qu'il sera decrit ulterieurement dans la description. 

- S_V : indique la valeur codee de la variable d'etat. En reference a la 
figure 1, on indique que cette variable codee peur prendre les valeurs 0, 1. 2 
5 precedemment citees ou toute autre valeur explicite ou chiffree par exemple. 

En reference a la figure 1, on considere I'etape de constitution et de 
definition des droits d'acces, telle que mentionne precedemment, comme 
realisee. 

Suite a I'etape 0 precitee. le protocole, objetde la presente invention, 
10 consiste en une etape A, a transmettre, du centre d'emission vers chaque 
terminal de desembrouillage T k et, bien entendu, vers le module de controle 
d'acces associe a ce dernier, au moins un message de gestion de droits 

d'acces note message EXM. 

Ce message comporte, ainsi que represents sur la figure 1, au moins 
15 une variable d'identification de droits d'acces inscrits, cette variable etant notee 
RJDx. une variable de date d'action notee AD_V X . cette date d'action 
correspondant a la date d'emission du message de gestion, c'est-a-dire la date 
d'operation de gestion realisee sur le droit d'acces inscrit dont la variable 
d'identification R_ID correspond a la variable d'identification RJD X contenue 
20 dans le message de gestion, ainsi qu'il sera explicite ci-apres dans la 
description. Le message peut, en outre, comporter une variable de dates de 
validite, notee V_D X . Enfin, le message de gestion EXM comporte une variable 
d'affectation d'etat notee S_V X constitute par une valeur codee correspondant 
a un droit d'acces valide, un droit d'acces invalide ou un droit d'acces efface. La 
25 variable S_V X peut done prendre les valeurs 0, 1, 2, ainsi que mentionne 
precedemment dans la description. 

Sur reception du message de gestion EXM au niveau du module de 
controle d'acces associe au terminal de desembrouillage, le protocole, objet de 
('invention, consiste, en une etape B, a affecter au droit d'acces inscrit 
30 correspondant a la variable d'identification de droit d'acces du message de 
yisiicn do droits d'acces la dale d'action, puis, en une efapo G, a allouer a la 



correspondant a un droit d'acces valide, a un droit d'acces invalide ou a un droit 
d'acces efface. 

En ce qui concerne la mise en ceuvre de I'etape B, on indique que 
cette etape peut §tre realisee par la mise en oeuvre d'une commande de type 
5 logique If (Si) . . . Then (Mors). 

Dans ces conditions, I'etape B precitee, ainsi que representee en 
figure 1 , peut consister a comparer la valeur de la variable d'identification du 
droit d'acces inscrit R_ID a la variable d'identification de droits d'acces inscrits 
contenus dans le message de gestion EXM, c'est-a-dire a la variable R_ID X par 
10 comparaison d'egalite. La comparaison d'egalite precitee peut comporter une 
pluralite de comparaisons successives portant sur les variables telles que 
variable de sous-identification du droit R_SID et variable de dates de validite, le 
cas echeant sur toute autre variable. 

Lorsque cette egalite est verifiee, alors, a la variable de date d'action 
15 AD_V est allouee, sous condition, la valeur de la variable de date d'action 
AD_V X du message de gestion EXM. La condition precitee consiste a verifier la 
posteriorite de la variable AD_V X par rapport a la variable AD_V. Puis, a la 
variable d'etat du droit d'acces inscrit S_V est allouee la variable d'affectation 
d'etat S_V X contenue dans le message de gestion EXM. Cette operation est 
20 realisee, a I'etape C, par instantiation de la variable d'etat du droit d'acces 
inscrit S_V representee par I'egalite : 

S_V = S_V X 

Une description plus detaillee de la mise en ceuvre du protocole objet 
de la presente invention, dans le cadre d'operations d'inscription d'un droit 
25 valide, d'invalidation d'un droit puis d'effacement d'un droit inscrit, sera 
maintenant donnee en liaison avec les figures 2a & 2d. 

Pour une operation d'inscription d'un droit d'acces determine dans un 
module de contrdle d'acces, la variable de date d'action AD_V X , dans le 
message EXM de gestion, correspond a une date d'inscription de ce droit 
30 d'acces et la variable d'affectation S_V X est une valeur codee correspondant a 
un droit valide, c'est-a-dire a la valeur codee S_V X = 1. 

L'operation d'inscription proprement dite du droit d'acces consiste a 
inscrire, dans le module de controle d'acces, et en particulier dans la memoire 
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non volatile de ce dernier, un droit d'acces determine dont la date d'action est 
celle de la date d'inscription precitee et dont la variable d'etat est celle de la 

variable d'etat S_V X = 1 - 

En reference a la figure 2a, I'operation d'inscription debute par la 
5 reception, au niveau du terminal de desembrouillage T k du message EXM, a 
I'etape B 0a . 

On dispose, au niveau du module de controle d'acces, apres 
demultiplexage du message EXM, des variables R_ID X , V_D X , AD_V X , S_V X = 
1 issues du message EXM et des variables RJD, V_D, AD_V, S_V du droit 
10 inscrit dans ie module de controle d'acces, si ce dernier est effectivement 
inscrit. 

Pour I'operation d'inscription precitee, le protocole objet de la 
presente invention peut consister, ainsi que represent en figure 2a, a verifier, 
en une etape B 1a , I'existence d'un droit inscrit correspond ant. Ce test est note : 
15 3R_ID = RJD X . 

Ce test est accompagne d'un test de non appartenance de ce droit a 
mat efface, S_V * 2, afin de permettre I'execution de I'operation d'inscription 
pour des droits existants a I'etat invalide ou a I'etat inscrit, en vue d'une 
operation de reinscription pour ce qui conceme ces derniers. Le test mis en 
20 oeuvre a I'etape B-i a verifie la relation : 

3 RJD = R_ID X ET S_V * 2. 
Sur reponse positive a I'etape B 1a , le protocole objet de I'invention 
peut consister a verifier le caractere de posteriorite de la variable de date 
d'action correspondant a une date d'inscription vis-a-vis de la date d'action du 
25 droit d'acces correspondant. Cette operation peut etre realisee, a I'etape B^, 
par comparaison de superiorite de la date d'action et de la variable de date 
d'action AD_V X contenue dans le message EXM vis-a-vis de la date d'action du 

droit inscrit AD_V. 

Sur reponse negative au test de I'etape B 2a precitee, I'operation 
30 d'inscription est terminee par une etape de fin d'inscription Bg., I'operation 

d'!nr,«-.ripiion ciu droit n'&tant pas effective. 



de la variable de date d'action du droit d'acces correspondant a partir de la date 
d'action correspondant a une date description. 

Cette operation est representee par la relation : 

AD_V = AD_V X 

5 L'etape B4 3 de mise a jour est alors suivie de l'etape C d'affectation 

consistant a affecter, a la variable d'etat du droit d'acces identique S_V, la 
valeur codee correspondant a un droit valide, sort S_V X = 1- Le droit d'acces 
inscrit prealablement dans le module de controie d'acces est alors renouvele ou 
reactualise. 

10 Le protocole objet de la presente invention pour une operation 

^inscription peut, bien entendu, etre mis en oeuvre pour i'execution d'une 
premiere inscription d'un droit dans un module de controie d'acces. 

Dans une telle situation, il n'existe pas de droit inscrit correspondant 
a ia variable d'identification de droit d'acces du message EXM, variable RJD X> 

15 et la comparaison d'egalite de la relation du test realise a l'etape B 1a n f est pas 
verifiee. 

En consequence, sur reponse negative au test de P6tape precitee, 
reponse negative a la verification de la relation 3 RJD = RJD X ET S_V * 2, le 
protocole objet de ^invention consiste, en outre, a effectuer une mise a jour par 
20 premiere inscription de ce droit d'acces dont la date d'action correspond a la 
date description. 

Cette operation est representee, sur la figure 2a, par I'acces, sur 
reponse negative a l'etape B 1a , a l'etape de mise a jour AD_V = AD J/ x . 

Cet acces peut §tre realist par affectation a la variable RJD du droit 
25 dont ^inscription est effectuee, a l'etape B 5a , de la valeur RJD X contenue dans 
le message de gestion EXM, puis a l'etape B 6a , de la variable de dates de 
validite VJD X a la variable de validite VJD. 

L'operation d'affectation, a l'etape C, correspond, dans ce cas, a une 
premiere inscription. 

30 De meme, en reference a la figure 2a, pour un droit d'acces inscrit 

dont la variable d'affectation d'etat correspond & un droit effac6, mais toujours 
physiquement present, S_V = 2, celui-ci consiste egalement sur reponse 
negative au test B 1a , avantageusement, a effectuer une nouvelle inscription du 



droit, etapes B*. B 6a el B 4a - A ce droit d'acces inscrit est alors affectee une 
variable d'etat correspondant a un droit valide, etape C. 

Une description plus detaillee d'une operation d'invalidation d'un droit 
d'acces inscrit dans un module de controle d'acces conforme au protocole objet 
5 de la presente invention sera maintenant decrite en liaison avec la figure 2b. 

Dans une telle situation, la variable de date d'action du message de 
gestion de droits d'acces correspond a une date d'invalidation et la variable 
d'affectation d'etat S_V X est la valeur codee correspondant a un droit invalide, 
c'est-a-dire la valeur zero dans I'exemple donne precedemment dans la 
10 description. 

Dans ces conditions, I'operation d'invalidation du droit inscrit dans le 
module de controle d'acces consiste a affecter, a la variable d'etat du droit 
d'acces inscrit S_V, la valeur codee correspondant a un droit d'acces invalide, 
c'est-a-dire la valeur codee S_V X = 0 et, bien entendu, a mettre a jour la date 
15 d'action du droit d'acces inscrit a partir de la date d'invalidation. 

Dans ce but, ainsi que represents en figure 2b, i'operation 
d'invalidation debute par une etape de reception du message EXM de gestion 
relative a cette operation au niveau du terminal de desembrouillage T k . 

Lors de cette etape, referencee B ob sur la figure 2b, on dispose des 
20 variables ^identification de droit d'acces R_ID X , de dates de validite V_D X , de 
date d'action AD_V X et de variable d'affectation d'etat S_V X = 0 contenues dans 
le message EXM, ainsi que des variables d'identification de droit RJD, de date 
de validite V_D, de date d'action AD_V et de variable d'etat S_V du droit inscrit 
dans le module de controle d'acces. 

Dans ces conditions, le protocole objet de la pr6sente invention peut 
consister, ainsi que represent en figure 2b, prealablement a I'operation 
d'invalidation proprement dite, a verifier, en une etape B 1bl au niveau du module 
de controle d'acces, I'existence d'un droit d'acces inscrit correspondant. Le 
test B 1b est semblable au test B 1a de la figure 1a. 

En outre, et de maniere non limitative, cette operation de test peut 
consister 3 vwriffer. de mAne que dans to tost B„ <te la figure 1a. que le droit 
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Pour cette raison, le test realise a I'etape B 1b verifie la relation : 
3 RJD = RJD X ET S_V * 2. 

Sur reponse positive a I'etape B 1bl cette derniere peut alors etre 
suivie d'une etape B 2b consistant a verifier le caractere de posteriority de la 
5 variable de date d'action correspondant a une date d'invalidation vis-a-vis de la 
variable de date d'action du droit inscrit. Cette operation est realisee, a I'etape 
de test B2b seion la relation : 
AD_V X > AD_V. 

Sur reponse negative au test B 2 b precite, ainsi que represents en 
10 figure 2b, un appel d f une etape de fin d'invalidation B 3b peut etre effectue, une 
telle operation permettant d'introduire une securite sur ('operation d'invalidation 
proprement dite. 

Au contraire, sur reponse positive au test realise a I'etape B 2b , une 
etape de mise a jour de la date d'action est realisee a I'etape B 4bf ; cette 

15 operation de mise a jour verifiant la meme relation que I'etape de mise a jour 
lors de I'inscription d'un droit valide B 4a a la figure 2a. 

L'etape B4 b est alors suivie de I'etape C d'invalidation proprement dite 
consistant a affecter, a la variable d'etat du droit d'acces inscrit S_V, lavaleur 
codee correspondant a un droit invalide S_V X = 0. 

20 En reference a la figure 2b, le protocole objet de la presente invention 

peut en outre etre mis en oeuvre pour {'invalidation d'un droit d'acces efface 
toujours present sur le module de controle d'acces, S_V = 2. Dans un tel cas, il 
consiste, sur reponse negative a I'etape B 1b precitee, a effectuer la mise a jour 
de I'etape B 4b puis Tinvalidation a l'6tape C, S_V = S_V X = 0. De meme que 

25 dans le cas de la figure 2a, l'6tape B 4b peut alors etre mise en ceuvre suite a 
une §tape B 5b et une etape B 6b analogues aux etapes B 5a respectivement B 6a 
de ia figure 2a. 

Dans les situations precitees, le protocole objet de I'invention 
consiste a effectuer une mise a jour du droit d'acces par inscription d'un droit 
30 d'acces dont la date d'action correspond a une date d'invalidation. A ce droit 
d'acces inscrit est affectee une variable d'etat correspondant a un droit d'acces 
invalide. 
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Les operations prec'rtees permettent de positionner respectivement 
inscrire un droit a I'etat invalide pour empecher son inscription ulterieure au 
moyen d'un message dont la date d'action serait anterieure. 

Une description plus detaillee d'une operation d'effacement d'un droit 
5 d'acces inscrit, mise en ceuvre conformement au protocole objet de la presente 
invention, sera maintenant donnee en liaison avec les figures 2c et 2d. 

Une operation d'effacement d'un droit d'acces inscrit est, dans ces 
conditions, realisee a partir d'un message EXM pour lequel la variable 
d'affectation d'etat S_V X = 2 correspond a un droit d'acces efface. 
10 Dans ces conditions, ainsi que represents en figure 2c, reoperation 

d'effacement debute, au niveau d'un terminal de desembrouillage T kl par la 
reception d'un message EXM et Ton dispose des variables precedemment 
decrites dans la description, pour les operations d'inscription ou d'invalidation, 
avec toutefois la variable d'affectation d'etat S_V X = 2. 
15 L'op6ration d'effacement est effectuee pour un droit d'acces dans le 

module de contr6le d'acces dont la variable d'etat correspond a un droit valide 

ou a un droit invalide. 

Dans ces conditions, I'etape de reception du message EXM, B 0c , est 
suivie d'une etape de test B 1c consistant a verifier I'existence au niveau du 

20 module de controle d'acces d'un droit d'acces inscrit correspondant. Le test Bi c 
precite est semblable au test B 1a ou B 1b des figures 2a ou 2b et verifie la meme 
relation. Sur reponse negative au test de I'etape B 1c , une etape B 2c de fin 
d'effacement est appelee. Sur reponse positive au test Bi c , ce dernier est suivi 
d'une etape B 3c de verification de posteriorite de la variable de date d'action du 

25 message de gestion AD_V X , vis-a-vis de la variable de date d'action du droit 
inscrit AD_V. Cette etape est realisee par comparaison de superiorite selon la 
relation : 

AD_V X > AD_V. 

Sur reponse negative au test B 3c precite, le retour a I'appel de I'etape 
de fin d'effacement B^ peut etre realise dans des conditions semblables a 

ceHes de la fin d'invslHstfon d'un droit dscrit en relation avec !a figure 2b. 
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en I'appel d'une etape de mise a jour de la date d'action du droit inscrit, a 
I'etape B 4c . selon la relation : 
AD_V = AD_V X . 

L'etape de mise a jour precitee est alors suivie de I'etape 
5 d'effacement proprement dit, a I'etape C, pour realiser un effacement virtuel du 
droit d'acces inscrit. 

Selon une mise en oeuvre particulierement avantageuse du protocole 
objet de la presente invention, I'etape d'effacement virtuel consiste en une 
allocation, & la variable d'etat du droit d'inscrit S_V, de la variable d'affectation 
10 d'etat du message de gestion S_V correspondant a un droit d'acces efface, 
c'est-a-dire S_V X = 2. 

La notion d'effacement virtuel recouvre en fait la notion de maintien 
de ('existence physique du droit d'acces inscrit sur la memoire non volatile du 
module d'acces, alors que, toutefois, ce droit est rendu inutilisable par la seule 
15 affectation de la valeur cod6e correspondant a un droit d'acces efface. 

Selon un mode de mise en ceuvre particulierement avantageux du 
protocole objet de la presente invention, I'6tat d'effacement virtuel d'un droit 
d'acces inscrit peut correspondre a une absence de possibility d'utilisation 
totale de ce droit, bien que ce dernier soit maintenu present physiquement sur 
20 la m§moire non volatile du module de controle d'acces comportant ce dernier. 
L'operation d'effacement proprement dite, c'est-a-dire d'effacement physique de 
tout droit d'acces inscrit peut etre realis6e ensuite de maniere syst^matique, 
independamment du controle d'acces et de 1'acces de Pabonn6 aux informations 
embrouillees correspondant au droit d'acces considere. 
25 En particulier, ainsi que represents en figure 2d, Teffacement 

physique du droit d'acces soumis prealablement a un etat d'effacement virtuel 
peut etre soit immediat, soit differe. 

Le cas 6cheant, l'ex6cution de I'etape d'effacement physique peut 
etre conditionnee a un critere specifique, tel qu'un critere temporel, ainsi qu'il 
30 sera decrit de maniere plus detaillee en liaison avec la figure 2d. 

En reference & la figure precitee, on considere un droit d'acces inscrit 
en etat d'effacement virtuel, suite 3 la mise en oeuvre du protocole objet de la 
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presente invention, conformement au mode de realisation illustre et decrit 
precedemment dans !a description, en liaison avec la figure 2c. 

Dans cette situation, un message EXM, avec S_V X = 2, a ete recu et 
la situation d'effacement virtuel correspond a la relation precedemment decrite 
5 dans la description S_V = S_V X = 2. L'etat correspondant d'effacement virtuel 
est represents par l'etat C 0 d sur la figure 2d. 

{.'execution de I'effacement physique proprement dit du droit inscrit 
peut alors etre soumise a un test tel qu'un test tempore!, a I'etape C 1d . 

Le test precite peut, a titre d'exemple non iimitatif, consister a 
10 comparer la variable de date d'action du message EXM, c'est-a-dire la variable 
AD_V X , par comparaison de superiority a la variable de date de fin de validite 

V_D du droit inscrit. 

Sur reponse positive au test C 1d , la date d'action d'effacement etant 
posterieure a la date de validite du droit inscrit, I'effacement physique est 
15 realise de maniere immediate par appel d'une etape correspondante C 3(J . 

Au contraire, sur reponse negative au test C ld , la date d'action 
d'effacement etant anterieure a la date de fin de validite V_D du droit inscrit, 
une etape d'effacement physique differe est appelee C 2d . L'effacement est 
differe tant que la date d'action AD_V X de tous messages d'effacement EXM 
20 successifs est inferieure ou egale a la date de f.n de validite du droit inscrit. Le 
maintien de I'effacement physique differe est symbolise par le retour au 
test Ci d . 

On comprend que, grace a la mise en ceuvre de I'effacement differe 
precite, il est possible d'assurer une gestion systematique de I'effacement 
25 physique des droits d'acces inscrits alors que ces derniers, bien que toujours 
physiquement presents sur la carte, sont inutilisables par I'abonne dont le droit 
inscrit correspondant a ete place en situation d'effacement virtuel. 

Un exemple comparatif de mise en ceuvre d'effacement ou 
suppression de droit, conformement a Part anterieur, respectivement 
30 conformement au protocole objet de la presente invention, sera maintenant 
donne ci-apres dano '.3 fl-sscripuon dans le cos ou I'on consider*, pour un 



decodeur ou f le cas echeant, I'absence de fonctionnement du decodeur 
pendant une periode de temps determinee vis-a-vis de remission cyclique de 
messages de gestion, messages EMM dans !e cas de Tart anterieur, 
messages EXM conformement au protocoie objet de la presente invention. 
5 On considere ainsi la diffusion cyclique de messages de gestion de 

type EMM dans le cas des processus de Tart anterieur et de type EXM lors de 
la mise en oeuvre du protocoie objet de la presente invention. 

On considere, suivant le tableau 1 relatif au processus de Tart 
anterieur, remission d'un cycle de messages de gestion de type EMM selon un 
10 premier cycle, tel que represents au tableau, alors que pendant les dates 
d'action correspondantes, selon les cellules de la zone A du tableau du cycle 1, 
le module de controle d'acces ou le terminal de desembrouillage sont hors 
service. 



15 



18 

Tableau 1 




10 





Type de messages 


Date de 
Taction 


Action sur la cant? 




,7... 




Anterieure au 01/12/01 


I I 


EMM d'inscription 
R IDi 




HrnH inherit R IDi 




EMM de suppression 
R ID, 


02/12/01 


Droit efface RJDi 


CD 
O 
>* 


EMM d'inscription 
R ID 2 


12/12/01 


Droit inscrit R_ID 2 


O J 


EMM d'inscription 
R ID, 


13/12/01 


V 




EMM d'inscription 
R ID 4 


12/12/01 






EMM .../... 


.../... 






EMM d'inscription 
R ID 5 


31/12/01 


Droit inscrit RJD 5 


Cycle 2 


EMM de suppression 
de droit R IDs 


01/01/02 


Droit efface R_ID 5 


EMM d'inscription 
R ID* 


12/01/02 


Droit inscrit R_ID 6 




EMM .../... 








EMM d'inscription 
R IDi 


01/12/01 


" \ 

Droit inscrit RJDi 




EMM de suppression 

R IDi 


02/12/01 


Droit efface RJDi 


i Cycle 1 


|EMM d'inscription 
R ID2 


12/12/01 


Droit deja inscrit 


[EMM d'inscription 
R ID 3 


13/12/01 


Droit inscrit R_ID 3 




EMM d'inscription 
R ID, 


12/12/01 


Droit inscrit R_ID 4 




EMM .../... 







> A 



> B 



Dans le tableau 1 precite, on rappelle que la date de ('action designe 
la date d'emission du message, mais que ce message ne comporte toutefois 
aucune date d'action, contrairement aux messages EXM permettant la mise en 
ceuvre du protocole objet de la presente invention. 

Le cycle 1 est suivi d'un cycle 2 a des dates differentes, puis, ensuite, 
d'une pluralite de cycles 1, Tun des cycles etant designe par n cycle 1. 

Lors de la diffusion du premier cycle 1, toute operation d'inscription 
de droit ou de suppression de droit, c'esl-s-dire d'effacement, est rsalisee sauf, 

. ... -r,-.r. ;.fl5!J ! SS — OHt & fan?. IrKSUsKy'S IS 




module de controle d'acces, c'est-a-dire la carte et/ou le terminal de 
desembrouillage, sont hors service. 

Lors de remission d'un cycle 2, different du cycle 1, en ce qui 
concerne la variable d'identification des droits d'acces inscrits, le module de 
5 controle d'acces et/ou le terminal etant en service, les operations 
correspondantes sont, de la meme fagon, executees. 

Au contraire, lors de la repetition du cycle 1, c'est-a-dire dans le 
tableau 1, pour les cellules du cycle notees n cycle 1, il apparait des cellules 
correspondant a une zone B f cette zone indiquant que le droit diffuse RJDi 
10 successivement inscrit et efface ne peut pas etre effectivement etabli en tant 
que tel dans le module de controle d'acces, c f est-a-dire dans la carte, car aucun 
controle par date d'action n'est effectue. 

Alors que le processus de Tart anterieur ne permet pas de controler la 
non reinscription de droits effaces, le tableau 2, relatif a la mise en oeuyre du 
15 protocole objet de la presente invention, dans une situation analogue, permet 
de reduire les cas dans lesquels les messages de gestion EXM introduisent des 
dysfonctionnements dans les conditions ci-apres. 
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Tableau 2 





Type de messages 


U3te a 6 
Taction 


Etat du droit dans la carte 




.../... 

EXM d'inscription 
RJDi 


01/12/01 


Droit inscrit 




EXM d'invalidation 
R ID, 


09/19/01 


Invalide 


1 T "~ 1 


EXM d'inscription 
R ID 2 


12/12/01 


Droit inscrit 

— . \ 


Cycl 


EXM d'inscription 
R ID 3 


13/12/01 






EXM d'inscription 
R ID 4 


12/12/01 


> 




EXM d'invalidation 
de droit R ID 4 


13/12/01 






EXM .../... 


.../... 


) 




EXM d'inscription 
R IDs 


31/12/01 


Droit inscrit 


CM 
0) 


EXM d'invalidation de 
droit R ID5 


01/01/02 


Invalide 


o 
>> 
O 


EXM d'inscription 
R IDs 


12/01/02 


Droit inscrit 




EXM .../... 




— — 




EXM d'inscription 
R ID, 


U 1 / 1 £J VJ 1 


Messaae ianore 




EXM d'invalidation 
R-ID, 




Messaae ianore 


Cycle 1 


EXM d'inscription 
R ID 2 


12/12/01 


Message ignore 


EXM d'inscription 
R ID* 


13/12/01 


Droit inscrit 


c 


|EXM d'inscription 
R ID 4 


12/12/01 


Droit inscrit 




EXM d'invalidation de 
droit R ID 4 


13/12/01 


Invalide 




EXM .../... 


.../... 





Dans ces conditions, les regies de traitement dans le module de 
controle d'acces sont les suivantes : 

- lors d'une invalidation, marquage du droit comme invalide I ; 

- un droit invalide ne peut etre reactive que de maniere 
conditionnelle : 

- si la date enaction, tfcsl-a-dire la variable cle date d'action du 



- si la date de Taction du message EXM est superieure a la date 
d'action d'un droit inscrit, le droit inscrit est reactualise, c*est-a-dire 
effectivement reactualise invalide ou efface. 

Dans le tableau 2, de meme que dans le tableau 1, la zone A 
5 correspond a un temps d'arr§t ou de dysfonctionnement du module de controle 
d'acces et/ou du terminal de desembrouillage pour le cycle 1 . 

- Les zones I indiquent que le droit inscrit a ete invalide grace au 
message d'invalidation, c'est-a-dire S_V = S_V X = 0 ; 

- les cellules de la zone i font reference a la situation selon laquelle, si 
10 la date d'action du message EXM est inferieure ou egale a la date d'action du 

droit inscrit meme invalide, Taction correspondante est ignoree dans le module 
de controle d'acces. 

On constate ainsi Texistence d'un traitement et d'une gestion plus 
souples et plus fluides de Tensemble des droits d'acces inscrits dans les 

15 modules de controle d'acces. 

Pour la mise en oeuvre du protocole objet de la presente invention, il 
est necessaire de disposer, bien entendu, d'un terminal de desembrouillage 
associe a un module de controle d'acces aux informations embrouillees 
transmises d'un centre d'emission vers le terminal de desembrouillage precite. 

20 Ainsi que represents en figure 3a, on indique que le module de 

controle d'acces associ6 au terminal de desembrouillage correspondant 
comprend, inscrit en memoire de ce module de controle d'acces, au moins un 
droit d'acces constitue par un ensemble de variables independantes et de 
variables liees, cet ensemble comportant au moins, outre une variable 

25 d'identification RJD du droit inscrit, une variable de date d'action sur le droit 
d'acces inscrit AD_V et une variable d'etat pouvant prendre Tune des trois 
valeurs cod6es mentionnees precedemment dans la description pour 
representer un droit d'acces valide, un droit d'acces invalide ou encore un droit 
d'acces efface. Le module de contr6le d'acc§s peut, en outre, comporter une 

30 variable de dates de validite, V_D. 

D'une mantere generale, on indique que le module de controle 
d'acces peut etre constitue par un element logiciel ou par un element materiel 
et, en particulier, par une carte virtuelle pour realiser Telement logiciel precite ou 
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par une carte a microprocesseur munie du processeur de sScuritS, ainsi que 
mentionne precedemment dans la description. 

Lorsque le module de controle d'acces est un element logiciel, celui- 
ci peut etre implants au niveau du terminal de dSsembrouillage, par exemple. 

5 Dans ce cas, ainsi que represents en figure 3a, le droit d'acces constituS par 
I'ensemble des variables independantes et variables liSes precite peut alors 
etre memorise sur une memoire permanente telle qu'un disque dur par 
exemple, non represent aux dessins, et charge systSmatiquement dans la 
memoire de travail du terminal de desembrouillage, la memoire de travail etant, 

10 bien entendu, connectee au processeur de securite CPU_S du terminal de 
desembrouillage. 

Lorsque au contraire, le module de controle d'acces est constitue par 
une carte a microprocesseur munie d'un processeur de securite, ainsi que 
represent en figure 3b, cette carte a microprocesseur est egalement munie 
15 d'une memoire programmable non volatile securisee associSe au processeur 
de securite. Dans un tel cas, ainsi que represents en figure 3b prScitSe, les 
droits d'acces constitues par un ensemble de variables independantes et de 
variables liees sont inscrits dans la memoire programmable non volatile 
securisee. 

On comprend, en particulier que, grace a une liaison par bus vers les 
circuits d'entree/sortie notee I/O de la carte, I'echange destructions venant du 
terminal de desembrouillage pour assurer soit Inscription d'un droit d'acces, 
soit ('invalidation d'un droit d'acces, soit au contraire, I'effacement d'un droit 
d'acces dans la memoire non volatile programmable, peut etre realise par les 
circuits d'entree/sortie I/O prScitSs sous le controle du processeur de 
securite CPU_S precedemment mentionne. 

Enfin, en reference a la meme figure 3b, et dans le cas plus 
particulier d'un service de controle d'acces a des informations embrouillees, 
I'acces a ces informations etant accords a titre onSreux, tel que par exemple 
dans le cas d'un service de tSISvision a peage, la notion de droit d'acces 
flcn«Utue par un snsemhte variables independantes et de variables liees el 
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porte-jetons £lectroniques alloues a Putilisateur abonne detenteur du module de 
controle d'acces. 

Pour cette raison, sur la figure 3b, on a represents un porte-jetons 
electronique code de maniere semblable a celie d'un droit d'acces AR, le porte- 
5 jetons electronique pouvant comporter, de la meme maniere a titre d'exemple : 

- une variable d'identification de porte-jetons electronique notee 

Purse Id ; 

- une variable de dates de validite V_D ; 

- une variable de date d'action sur le porte-jetons Electronique AD_V ; 
10 - une variable d'etat S_V. 

Enfin, une variable d'unites de compte peut etre prevue, notee 
Purse Units. 

On indique que la variable d'identification de porte-jetons electronique 
peut etre associee a une variable liee notee Purse Subld, cette variable, selon 
15 les conventions de notation precedentes relatives au droit d'acces AR etant, par 
exemple, une variable optionnelle. 

Dans ces conditions, on comprend que, pour un porte-jetons 
electronique donne, reference Purse Id, il est possible de definir des sous- 
porte-jetons, definis chacun par la variable Purse Subld, pour des applications 
20 specifiques et des services particuliers, 

II en est de meme en ce qui concerne la variable d'unites de compte 
Purse Units, a iaquelle peut etre assoctee une variable liee optionnelle RE, 
selon les memes conventions. La variable liee RE peut designer une variable 
dite de report permettant le report du contenu du porte-jetons electronique 
25 considere ou du solde crediteur de ce dernier sur un porte-jetons electronique 
de meme nature ou sur le m§me porte-monnaie ou porte-jetons electronique 
comportant un identifiant identique. 

Dans ces conditions, et de meme que dans le cas des droits 
d'acces AR, la syntaxe de codage des porte-jetons electroniques, de maniere 
30 semblable a celie des droits d'acces AR, est de la forme : 

PU = Purse Id [Purse Subld] V_D AD_V S_V Purse Units [RE]. 
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RFWEMDICATIONS 
1. Protocole d'inscription, d'invalidation/effacement de droits d'acces 
a des informations embrouillees transmises d'un centre d'emission vers au 
moins un terminal de desembrouillage auquel est associe un module de 
5 controle d'acces muni d'un processeur de securite, ces droits d'acces etant 
inscrits dans ledit module de controle d'acces, lesdites informations 
embrouillees etant soumises a un controle d'acces par emission periodique de 
messages de controle d'acces, porteurs de criteres d'acces et d'un 
cryptogramme d'un mot de controle change periodiquement et chiffre au moyen 
10 d'une cle d'exploitation, puis, au niveau de chaque processeur de securite, 
conditionnellement a la verification a la valeur vraie d'au moins un droit d'acces 
inscrit vis-a-vis desdits criteres d'acces, par dechiffrement du cryptogramme du 
mot de controle a partir de ladite cle d'exploitation, transmission au terminal de 
desembrouillage du mot de contrdle restitue et desembrouillage desdites 
1 5 informations embrouillees a partir dudit mot de controle restitue, caracterise en 

ce qu'il consiste au moins : 

- a constituer tout droit d'acces inscrit dans ledit module de controle 
d'acces comme un ensemble de variables independantes et de variables liees 
comportant au moins, outre une variable ^identification du droit d'acces, une 

20 variable de date d'action sur le droit d'acces inscrit et une variable d'etat 
pouvant prendre Tune de trois valeurs codees droit d'acces valide, droit d'acces 

invalide, droit d'acces efface ; 

- a transmettre dudit centre d'emission vers chaque terminal de 
desembrouillage et vers le module de contrdle d'acces associe a ce dernier au 

25 moins un message de gestion de droit d'acces, ledit message comportant au 
moins, outre une variable d'identification de droit d'acces inscrit, une variable de 
date d'action et une variable d'affectation d'etat, valeur codee correspondant a 
un droit d'acces valide, un droit d'acces invalide ou un droit d'acces efface ; et 
sur reception dudit message de gestion de droit d'acces, au niveau dudit 

30 module de controle d'acces, 

- a affscter on droil d'acces inherit correspondant u la variable 




- a allouer a ladite variable d'etat dudit droit d'acces inscrit 
correspondant ladite variable d'affectation d'etat correspondant a un droit 
d'acces valide, a un droit d'acces invalide ou a un droit d'acces efface. 

2. Protocole selon la revendication 1 , caracterise en ce que, pour une 
5 operation description d'un droit d'acces determine dans un module de controle 

d'acces, ladite variable de date d'action dudit message de gestion de droit 
d'acces correspond a une date description, et la variable d'affectation d'etat est 
une valeur codee correspondant a un droit valide, Poperation d'inscription 
consistant a inscrire, dans ledit module de contrdle d'acces, un droit d'acces 
10 determine dont la date d'action est celle de ladite date d'inscription et dont la 
variable d'etat est celle de ladite variable d'etat et correspond a un droit valide. 

3. Protocole selon la revendication 2, caracterise en ce que, 
prealablement a reoperation d'inscription proprement dite dudit droit d'acces 
determine, celui-ci consiste en outre, au niveau dudit module de.' controle 

15 d'acces, . :. 

- a verifier I'existence, au niveau dudit module de contrdle d'acces, 
d'un droit d'acces inscrit correspondant audit droit d'acces determine et dont la 
variable d'etat correspond a la valeur codee droit valide ou droit invalide, et sur 
reponse positive a ladite verification : 

20 - a verifier le caractere de posteriorite de ladite variable de date 

d'action correspondant a une date d'inscription vis-a-vis de la date d'action dudit 
droit d'acces identique et sur reponse positive a ladite verification de caractere 
de posteriorite, 

- a effectuer une mise a jour de ladite variable de date d'action dudit 
25 droit d'acces identique, a partir de ladite date d'action correspondant a une date 

d'inscription, 

- a affecter, a ladite variable d'etat dudit droit d'acces identique, la 
valeur codee correspondant a un droit valide, ce qui permet de valider ledit droit 
d'acces inscrit. 

30 4. Protocole selon la revendication 2 ou 3, caracterise en ce que, sur 

reponse negative a ladite verification d'existence d'un droit d'acces identique, 
celui-ci consiste en outre a effectuer une mise a jour par premiere inscription de 
ce droit d'acces, dont la date d'action correspond a la date d'inscription. 
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5. Protocole selon la revendication 1, caracterise en ce que, pour une 
operation ^invalidation d'un droit d'acces inscrit dans un module de controle 
d'acces, ladite variable de date d'action dudit message de gestion de droit 
d'acces correspond a une date d'invalidation et la variable d'affectation d'etat 
est une valeur codee correspondant a un droit invalide, I'operation d'invalidat.on 
consistent a affecter. a ladite variable d'etat dudit droit d'acces inscrit, ladite 
valeur codee correspondant a un droit invalide et a mettre a jour ladrte date 
d'action dudit droit d'acces inscrit a partir de ladite date d'invalidation. 

6. Protocole selon la revendication 5, caracterise en ce que, 
prealablement a I'operation d'invalidation proprement dite, celui-ci consiste : 

- a verifier I'existence, au niveau dudit module de controle d'acces, 
d'un droit d'acces inscrit correspondant audit droit d'acces dudit message de 
gestion ; 

- a verifier le caractere de posteriorite de ladite variable de date 
d'action correspondant a une date d'invalidation vis-a-vis de ladite variable de 

date d'action dudit droit inscrit, 

7. Protocole selon Tune des revendications precedentes, caracterise 
en ce que, pour toute variable d'affectation d'etat du message de gestion 
correspondant a un droit d'acces efface et pour tout droit d'acces inscrit dans le 
module de controle d'acces dont la variable d'etat correspond a un droit valide 
ou a un droit invalide, celui-ci consiste au moins : 

- en une mise a jour de la date d'action dudit droit inscrit ; 

- en une allocation, a ladite variable d'etat dudit droit d'acces inscrit, 
de ladite variable d'affectation d'etat du message de gestion correspondant a un 
droit d'acces efface, ladite operation d'allocation constituant, pour ledit droit 
d'acces inscrit, une operation d'effacement virtuel. 

8. Protocole selon la revendication 7, caracterise en ce que les 
etapes de mise a jour et d'effacement virtuel dudit droit d'acces inscrit sont 
precedees d'une etape de verification de I'existence, au niveau dudit module de 
controle d'acces, d'un droit d'acces inscrit correspondant audit droit d'acces 
dudit mees&qe de gesikni. et d'une etape de verification de posteriorite ri* ladite 

• - » _ i_ i _ 
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9. Protocole selon Tune des revendications 7 ou 8, caracterise en ce 
que ladfte operation d'effacement virtuel est suivie d'une operation d'effacement 
physique dudrt droit d'acces. 

10. Protocole selon la revendication 9, caracterise en ce que ladite 
5 operation d'effacement physique est immediate ou differee. 

1 1 . Protocole selon Tune des revendications 2 ou 3, caracterise en ce 
que, pour un droit d'acces inscrit dont la variable d'affectation d'etat correspond 
a un droit d'acces efface, celui-ci consiste en outre a effectuer une mise a jour 
par premiere inscription de ce droit d'acces, audit droit d'acces etant affectee 

10 une variable d'etat correspondant a un droit valide et dont la date d'action 
correspond a la date description. 

12. Protocole selon Tune des revendications 5 ou 6, caracterise en ce 
que, pour un droit d'acces inscrit dont la variable d'affectation d'etat correspond 
a un droit d'acces efface, celui-ci consiste en outre a effectuer une mise a jour 

15 par premidre inscription de ce droit d'acces, audit droit d'acces etant affectee 
une variable d'etat correspondant a un droit invalide et dont la date d'action 
correspond a la date d'inscription. 

13. Protocole selon I'une des revendications 5 ou 6, caracterise en ce 
que, sur r6ponse negative a ladite verification d'existence d'un droit. d'acces 

20 correspondant, celui-ci consiste en outre a effectuer une mise a jour par 
premiere inscription de ce droit d'acces, dont la date d'action correspond £ une 
date d'invalidation, audit droit d'acces etant affectee une variable d'etat 
correspondant £ un droit invalide. 

14. Module de controle d'acces a des informations ernbrouillees 
25 transmises d'un centre d'emission vers au moins un terminal de 

desembrouillage auquel est associe ce module de controle d'acces, caracterise 
en ce qu'il comprend, inscrit en m^moire de ce module de controle d'acces, au 
moins un droit d'acces constitue par un ensemble de variables independantes 
et de variables liees, comportant au moins, outre une variable d'identification du 
30 droit d'acces inscrit et une variable de dates de validite, une variable de date 
d'action sur le droit d'acces inscrit et une variable d'etat pouvant prendre I'une 
de trois valeurs cod§es, droit d'acces valide, droit d'acces invalid^, droit d'acces 
efface. 
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15. Module de contrdle d'acces selon la revendication 14, caracterise 
en ce que ledit module de controle d'acces etant constitue par une carte a 
microprocesseur munie d'un processeur de securite et d'une memo.re 
programmable non volatile securisee, ledit au moins un droit d'acces est .nscrrt 
dans ladite memoire programmable non volatile securisee. 

16 Module de controle d'acces selon la revendication 14 ou 15, 
caracterise en ce que, pour un controle d'acces a des informations embrouillees 
d'un service de television a peage, lesdits droits d'acces recouvrent iesdits 
droits d'acces definissant les modes d'acces auxdites informations embrou.llees 
et des porte-jetons electroniques alloues a I'utilisateur abonne, detenteur dudit 
module de contr6le d'acces. 
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